自本文發表以來,Sophos 在這篇 《SamSam─得手近六百萬美元的勒索軟體》的新文章中發表了大量對 SamSam 的新研究。在我們的姐妹網站 Naked Security 上發佈了一篇最新的保護建議。
雖然勒索軟體造成的損害大多是使用如 Locky 和 GlobaImposter 般的軟體進行漫無目標的漁翁撒網式攻擊,但是具有毀滅性的目標性攻擊正在增加。
在目標性攻擊中,詐騙分子會鎖定一個易受攻擊的組織並為其量身制定一套方法,以造成最大的傷害和破壞。藉此,詐騙分子能夠大幅減少曝光的機會,同時勒索更高額的贖金。
此類常見的駭客工具之一就是 SamSam 勒索軟體,也稱為 Samas。
SamSam 的攻擊相對比較少,似乎主要集中在醫療照護、政府和教育部門。儘管手法雷同,但沒有兩種攻擊是完全相同的。SamSam 攻擊手法和勒索金額因受害者而異,曾經要求過高達 60,000 美元的贖金。
今年,與 SamSam 有關的比特幣地址已經收到超過 100 萬美元的贖金。
由於攻擊採取目標性,所以我們可以取得的精確資訊很少。SophosLabs 一直在調查最近的攻擊,並發現了勒索軟體在過去幾個月中如何演變的最新資訊。如需詳細資訊,請參閱我們的白皮書《SamSam 勒索軟體精挑細選它的目標》。
持續獲得保護
雖然駭客的方法因目標而異,但只要掌握其特定的弱點,但仍有一些值得特別關注的地方。
1.把門鎖上
SamSam 攻擊起初多半是由攻擊者攻破 RDP 帳戶的低強度密碼,因此:
- 如果您不需要 RDP,請將其關閉。
- 確保使用者使用高強度密碼。
- 盡可能啟用雙因素驗證 (2FA)。
- 僅接受來自已授權電腦的 RDP 連線。
- 設定鎖定政策以限制嘗試密碼的頻率。
2.修補任何漏洞
SamSam 攻擊者還會透過利用 Java 反序列化弱點和未修補的 JBoss 系統入侵目標網路,包括:CVE-2010-0738、CVE-2012-0874 和 CVE-2010-1428。
當然,假設 SamSam 駭客會利用任何已知的弱點實現目的是有道理的,因此修補這份列表對任何威脅一體適用,也就是跟上修補的腳步。
3.保持整潔
如果攻擊者取得了您網路的存取權限,那麼阻擋攻擊就不只是偵測是否出現明顯惡意的檔案那麼簡單了。SamSam 攻擊使用的許多工具都用得恰到好處,因為它們都是您網路上現有的合法軟體,例如 PsExe、Powershell、Script 或 CScript。
如果您是 Sophos 客戶,可以使用 Application Control 設定您組織對合法應用程式的存取權限。例如確保需要 Powershell 的系統管理員可以使用它,而一般使用者則無權使用。
我們已經發現 SamSam 使用 PsExec 來幫助它在網路中散播。在預設情況下,我們的產品會將 PsExec 偵測為可能不需要的應用程式 (PUA) 並加以阻擋。
系統管理員應確保啟用 PUA 掃描,而且 PsExec 沒有被新增到授權清單中。如果您需要使用PsExec,請只授權給需要它的使用者,並在作業完成後撤銷該授權。
4.養隻能幹的看門犬 (或兩隻)
您擁有的每層安全保護都是針對不同類型的威脅而設計的,而採用多個重疊保護層的深度防禦策略是最好的方法。
Sophos Endpoint 和 Sophos Server 可將目前版本的 SamSam 偵測為 Troj/Samas-F、Troj/RansRun-A 和 Mal/Kryptik-BV 並加以阻擋。
使用 Intercept X 或 Exploit Prevention 的客戶,可透過我們的反勒索軟體保護技術 CryptoGuard 防禦 SamSam 的攻擊。
擁有 Central Server Advanced 授權的客戶,可以部署伺服器鎖定 (許可清單) 來強化伺服器,以防止未經授權的更改。
使用 Sophos Central 和 XG Firewall 的客戶可以使用 Security Heartbeat™ 功能,讓您的端點能夠與防火牆溝通,已建立發現威脅時自動隔離電腦的政策,快速地遏阻任何威脅。
英文原文: https://news.sophos.com/en-us/2018/05/02/shutting-out-samsam-ransomware/?cmp=28009
(本博文為翻譯本,內容以英文原文為準)
Leave a Reply